[NES2018] 안랩 “고도화된 엔드포인트 공격, EDR로 막아라”

실시간
뉴스

솔루션

[NES2018] 안랩 “고도화된 엔드포인트 공격, EDR로 막아라”

디지털데일리 발행일 2018-04-27 08:56:38

이형두

URL복사

[디지털데일리 이형두기자] 최신 보안 솔루션을 구축‧운영 중인 기업 기관에서도 여전히 보안 사고는 끊이지 않는다. 엔드포인트 공격의 고도화가 원인으로 꼽힌다.

엔드포인트는 데스크톱이나 노트북을 비롯해 사용자가 엑세스하는 파일서버나 웹서버를 뜻한다. 보안 취약점인 엔드포인트가 랜섬웨어, 스파이웨어, 백도어 등 악성코드의 우선 공격 목표가 되고 있다. 이 때문에 보안 전문가들은 안티바이러스 등 기존 수동적인 보안 대응에 의존하기보다 EDR(엔드포인트 탐지대응) 등 능동적인 보안 방안이 도입돼야 한다고 조언하고 있다.

안랩 백민경 부장<사진>은 26일 쉐라톤 서울 디큐브시티 호텔 그랜드볼룸에서 열린 ‘NES2018 차세대 기업보안 세미나’에서 “기존 기업에서 이뤄지던 정보보안 솔루션은 ‘어느 PC에 얼마나 많은 악성코드가 탐지됐다’는 리포트만 받거나 예외처리만 했던 방식”이라며 “엔드포인트에 대한 위협 부분을 상시적으로 모니터링하고 대응할 수 있는 능동적인 방향으로 나가야 된다”고 강조했다.

백민경 부장은 지금까지 보안 방식은 ‘음악을 듣기 위해 재생하는 MP3 파일’과 비슷하다고 설명했다. 듣고 싶은 노래를 듣는 것처럼 'V3'같은 안티바이러스 툴을 바꿔가며 대응할 수 있을 뿐, 보안 담당자들이 적극적인 대응을 하기 어려웠다는 것. 악성코드를 잡더라도 침해 경로나 과정, 취약부분을 알기 힘들었다.

아울러 최근 기업이나 기관을 노리는 공격들은 한 번으로 끝나지 않는다. 조사 및 활동 과정에서 공격이 이뤄졌을 가능성이 크고, 얼마든지 이어지는 공격이 있을 수 있다. 기존 사고가 왜 일어났었는지 분석하지 않으면 ‘보이지 않는 신종 악성코드’가 향후 큰 위협이 될 수 있다.

EDR은 엔드포인트에서 발생하는 잠재 위험성을 탐지하고 선제 대응하는 솔루션이다. 모든 행위 정보를 수집‧분석해 보안 위협에 대한 직관적인 가시성을 제공한다.

안랩은 오는 30일 ‘안랩EDR’을 출시할 에정이다. 백민경 부장은 “안랩EDR은 V3가 갖고 있는 행위분석엔진이 어떤 프로세스가 파일을 만들었고, 파일이 실행돼 레지스터리에 등록되는지 전부 모니터링해 중앙으로 로그를 수집한다”며 “악성코드 발생 시 단순 치료로 끝나지 않고, 위험에 대한 상관관계를 연관관계 다이어그램으로 보여준다”고 설명했다.

안랩EDR은 V3 제품군 등 자사의 엔드포인트 보안 제품군과 손쉽게 정보연동이 가능하다는 것이 장점이다. 기존 안랩 V3를 사용 중인 고객사는 V3 제품군부터 패치 매니지먼트, 내PC지키미, EDR까지 다양한 엔드포인트 보안 솔루션에서 수집된 정보를 종합 분석해 고도화된 위협에 대응할 수 있다.

또 안랩EDR은 V3 백신을 EDR 에이전트로 활용하기 때문에 별도 에이전트 추가 설치없이 단일 에이전트(One Agent)로 쉽게 구축하고 운영할 수 있다. 더불어, 단일 관리 콘솔(Single Management Console)로 효율적인 엔트포인트 보안 통합관리 및 대응이 가능하다. 이에 따라 기업 보안 담당자는 EDR 솔루션 도입에 따른 PC 성능 영향이슈 및 관리 포인트 증가 부담을 대폭 줄일 수 있다.

백민경 부장은 “대부분 침해 사고는 막을 수 있는 여러 보안 솔루션 및 기술적인 대책이 있음에도 조치가 되어 있지 않는 경우가 많다”며 “이제는 보안담당자의 능동적인 방어 대책이 필요한 시기”라고 조언했다.

<이형두 기자>dudu@ddaily.co.kr